4.9. Machine Config Operator 인증서

4.9.1. 목적

이 인증 기관은 초기 프로비저닝 중에 노드에서 MCS(Machine Config Server)로의 연결을 보호하는 데 사용됩니다.

두 개의 인증서가 있습니다. . 자체 서명된 CA, MCS CA . 파생 인증서, MCS 인증서

4.9.1.1. 프로비저닝 세부 정보

RHCOS(Red Hat Enterprise Linux CoreOS)를 사용하는 OpenShift Container Platform 설치는 Ignition을 사용하여 설치됩니다. 이 프로세스는 두 부분으로 나뉩니다.

  1. MCS에서 제공하는 전체 구성의 URL을 참조하는 Ignition 구성이 생성됩니다.
  2. 사용자 프로비저닝 infrastucture 설치 방법의 경우 openshift-install 명령으로 생성된 worker.ign 파일로 Ignition 구성 매니페스트입니다. Machine API Operator를 사용하는 설치 관리자 프로비저닝 인프라 설치 방법의 경우 이 구성이 worker-user-data 시크릿으로 표시됩니다.
중요

현재는 머신 구성 서버 끝점을 차단하거나 제한할 수 있는 방법이 없습니다. 기존 구성 또는 상태가 없는 새로 프로비저닝된 머신이 구성을 가져올 수 있도록 머신 구성 서버를 네트워크에 노출해야 합니다. 이 모델에서 신뢰의 루트는 CSR(인증서 서명 요청) 끝점으로, kubelet이 클러스터에 가입하기 위해 승인하기 위해 인증서 서명 요청을 보내는 위치입니다. 이로 인해 시크릿 및 인증서와 같은 중요한 정보를 배포하는 데 머신 구성을 사용해서는 안 됩니다.

머신 구성 서버 끝점, 포트 22623 및 22624가 베어 메탈 시나리오에서 보호되도록 하려면 고객이 적절한 네트워크 정책을 구성해야 합니다.

추가 리소스

4.9.1.2. 신뢰 체인 프로비저닝

MCS CA는 security.tls.certificateAuthorities 구성 필드 아래에 Ignition 구성에 삽입됩니다. 그런 다음 MCS는 웹 서버에서 제공하는 MCS 인증서를 사용하여 전체 구성을 제공합니다.

클라이언트는 서버에서 제공하는 MCS 인증서에 해당 인증 기관에 대한 신뢰 체인이 있는지 확인합니다. 이 경우 MCS CA는 해당 권한이며 MCS 인증서에 서명합니다. 이렇게 하면 클라이언트가 올바른 서버에 액세스합니다. 이 경우 클라이언트는 initramfs의 머신에서 실행되는 Ignition입니다.

4.9.1.3. 클러스터 내부의 주요 자료

MCS CA는 ca.crt 키를 사용하여 kube-system 네임 스페이스, root-ca 오브젝트의 구성 맵으로 클러스터에 나타납니다. 개인 키는 클러스터에 저장되지 않으며 설치가 완료된 후 삭제됩니다.

MCS 인증서는 openshift-machine-config-operator 네임스페이스 및 tls.crttls.key 키가 있는 machine-config-server-tls 오브젝트의 시크릿으로 클러스터에 나타납니다.

4.9.2. 관리

현재 이러한 인증서 중 하나를 직접 수정하는 것은 지원되지 않습니다.

4.9.3. 만료

MCS CA는 10년 동안 유효합니다.

발급된 제공 인증서는 10년 동안 유효합니다.

4.9.4. 사용자 정의

Machine Config Operator 인증서를 사용자 정의할 수 없습니다.